%0 Thesis
%4 sid.inpe.br/mtc-m18@80/2008/08.18.19.02
%2 sid.inpe.br/mtc-m18@80/2008/08.18.19.02.38
%T Uso de honeypots para o estudo de spam e phishing
%J Use of Honeypots for the Study of Spam and Phishing
%D 2008
%8 2008-07-08
%9 Tese (Doutorado em Computação Aplicada)
%P 204
%A Steding-Jessen, Klaus,
%E Stephany, Stephan (presidente),
%E Montes Filho, Antonio (orientador),
%E Vijavkumar, Nandamudi Lankalapalli (orientador),
%E Santos, Rafael Duarte Coelho dos,
%E Camilli, Alberto,
%E Pires, Paulo Sergio da Motta,
%I Instituto Nacional de Pesquisas Espaciais (INPE)
%C São José dos Campos
%K honeypots, spam, proxies abertos, phishing, estudo, honeyspot, spam, open proxies, phishing, study.
%X Este trabalho propoe uma infra-estrutura extensível de sensores, baseada em honeypots, para estudar o problema do spam e do phishing, de modo a obter dados mais detalhados sobre o problema. Esta infra-estrutura permite a correlação desses dados com aqueles capturados por outros sensores, também com base em honeypots. Um protótipo desta infra-estrutura foi implementado e teve enfoque em obter dados sobre o abuso de relays e proxies abertos, a obtenção de endereços de email em sites Internet, a coleta de URLs enviadas através de mensagens de pop-up e a correlação de todos estes dados com atividades relacionadas com spam, capturadas pelo Consórcio Brasileiro de Honeypots. Este protótipo esteve em operação por diversos meses e coletou dados sobre vários aspectos do problema do spam, permitindo a obteção de um conjunto de métricas que auxiliam a compreensão da situação no Brasil. Os resultados da operação deste protótipo mostram a intensidade do abuso de relays e proxies abertos em redes brasileiras, a origem e o destino destes spams, os indícios de envio a partir de máquinas infectadas e as características do harvesting de endereços de email. Como resultado da análise destes dados sao apresentadas propostas de mitigação para os problemas observados. ABSTRACT: This work presents an extensible honeypot-based infrastructure to study the spam and phishing problem in order to obtain more detailed data on it. This infrastructure allows the correlation of the former data with data captured by other sensors also based on honeypots. A prototype of this infrastructure was implemented with the aim of obtaining data about the following: abuse of open relays and open proxies, email address harvesting, pop-up spam, and the correlation of these data with spam-related activities captured by the Brazilian Honeypots Alliance. This prototype was in operation for several months and collected data on several aspects of the spam problem. This allowed the generation of metrics to help understand the spam problem in Brazil. The obtained results show the magnitude of open relays and open proxies abuse in Brazilian networks, the source and the destination of these spams, the evidence of spam being sent from infected computers, and the characteristics of email harvesting. As a result of the analysis, some mitigation techniques for the observed problems are proposed.
%@language pt
%3 publicacao.pdf